Microsoft publie le Patch Tuesday du mois de février, qui corrige 21 failles de sécurité
Le Patch Tuesday survient le deuxième mardi de chaque mois ; Microsoft publie des correctifs de sécurité à destination de ses clients. Les bulletins sont qualifiés Faible, Moyen, Important ou Critique.
Le second Patch Tuesday de 2012 comporte neuf bulletins (du MS12-008 au MS12-016) qui corrigent vingt-et-une vulnérabilités. Quatre sont qualifiées de "critiques" par l'éditeur et visent à corriger Internet Explorer (versons 6, 7 et 8), le framework .NET et Silverlight.
Les cinq autres bulletins sont jugés "importants" et impactent Windows (XP, Vista, Windows 7, Server 2003 et 2008 R2), Office et SharePoint Server 2010.
Les différentes failles permettent de prendre le contrôle d'un système à distance ou l'élévation de privilèges.
L'application des mises à jour de sécurité est primordiale, au cours du mois précédent, deux éditeurs ont rapportés que des vulnérabilités corrigées par Microsoft étaient exploitées dans la nature.
La vulnérabilité MS12-004 (exploitée via HTML_EXPLT.QYUA, TROJ_MDIEXP.QYUA et JS_EXPLT.QYUA) ainsi que la vulnérabilité CVE-2011-1980 corrigée par le MS11-073 (exploitée par Trojan.Activehijack).
Le code d'exploitation de la vulnérabilité CVE-2012-0003 est d'ailleurs disponible au sein du framework Metasploit.
Dernier point d'attention, les produits suivants ne seront plus supportés à partir du 10 avril 2012 :
- Dynamics SL 7.0 Service Pack 2 ;
- Vista Home ;
- APP-V 4.6 for TSE Service Pack 0 (version RTM) ;
- Visual Studio 2010 Service Pack 0 (version RTM).
Il est donc important pour les utilisateurs de ces logiciels de prévoir une migration rapide afin de disposer de produits supportés.
Références CVE des bulletins de février
CVE-2010-3138, CVE-2010-5082, CVE-2011-5046, CVE-2012-0010, CVE-2012-0011, CVE-2012-0012, CVE-2012-0014, CVE-2012-0015, CVE-2012-0017, CVE-2012-0019, CVE-2012-0020, CVE-2012-0136, CVE-2012-0137, CVE-2012-0138, CVE-2012-0144, CVE-2012-0145, CVE-2012-0148, CVE-2012-0149, CVE-2012-0150, CVE-2012-0154 et CVE-2012-0155.
Sources
Bulletin Microsoft du mois de février
Cycle de vie des produits Microsoft
Publication de Trend Micro sur l'exploitation du CVE-2012-0003
Fiche de Trojan.Activehijack chez de Symantec
Code d'exploitation de la vulnérabilité CVE-2012-0003 sur Metasploit
Partager